Tutorial

เรื่องน่ารู้ของ Wordpress Security ที่ควรจะรู้

By Arnon Puitrakul - 22 เมษายน 2017

เรื่องน่ารู้ของ Wordpress Security ที่ควรจะรู้

เรื่องของ Wordpress Security นั่นถือเป็นเรื่องที่สำคัญมาก นั่นเป็นเพราะเราก็อยากที่จะใช้เว็บไซต์ของเราไปเรื่อย ๆ แบบไม่มีปัญหาอะไร เหมือนกับเราอยู่บ้าน แล้ววันนึงโจรเข้าบ้าน เราก็คงรู้สึกไม่ดีเท่าไหร่ ฉะนั้นทางที่ดีที่สุดคือการป้องกันไม่ให้โจรเข้าบ้านเรา

เว็บไซต์กว่า 27% ของทั้งโลกเลือกใช้ Wordpress

อยากที่พวกเราทราบกันว่า Wordpress ก็เป็น CMS ตัวหนึ่งที่ได้รับความนิยมสูงมาก ในหลาย ๆ ประเทศทั่วโลก ข้อมูลจากเว็บของ Wordpress บอกว่าเว็บไซต์กว่า 27% เลือกใช้ Wordpress ในการพัฒนาเว็บไซต์ของตนเอง

Wordpress Security เป็นเรื่องสำคัญมาก ! (เครื่องหมายตกใจล้านอัน)

แต่ด้วยความนิยมที่สูงได้ขนาดนี้ ก็คงไม่แปลกที่จะถูกหมายตาโดยเหล่าผู้ไม่หวังดีต่าง ๆ มากมาย เพราะเจาะได้ที ก็ได้ 27% ทั่วโลกแล้ว แต่ตัว Wordpress เองก็มีความปลอดภัยที่สูงมากอยู่พอควรแล้ว แต่ปลอดภัยไว้ก่อนก็ดี วันนี้เราจะมาดูกันว่า เราจะสามารถเพิ่มความปลอดภัยให้กับ Wordpress ของเราได้อย่างไรบ้าง ด้วย 5 วิธีง่าย ๆ กันเลย

อัพเดท Wordpress ให้เป็นเวอร์ชั่นล่าสุดอยู่เสมอ

Wordpress เป็น Open Source ที่มีการอัพเดท ทั้งในเรื่องของฟีเจอร์ และความปลอดภัยเอง แต่โดยปกติแล้วตัว Wordpress จะทำการอัพเดท Minor Version ด้วยตัวเองอยู่แล้ว แต่ถ้าเป็น Major Version อันนี้อาจจะต้องทำการอัพเกรดเอง

ไม่ใช่แค่การอัพเดทตัว Wordpress อย่างเดียว พวก Plugin และ Theme ต่าง ๆ ก็ยังเป็นช่องโหว่ให้กับเหล่าผู้ไม่ประสงค์ดีได้เช่นกัน ฉะนั้น Plugin และ Theme ก็จำเป็นอัพเดทให้เป็นเวอร์ชั่นล่าสุดด้วยเช่นกัน เพื่อความปลอดภัย

ใช้ Password ที่มีความปลอดภัยสูง

ถ้าเราเรียนเรื่องของ Security มาเราก็น่าจะรู้จักในเรื่องของ Password Brute Force ที่จะทำการเดา Password ของเรา และลอง Login ไปเรื่อย ๆ จนรหัสถูก และเข้าถึงหน้า Admin ของเราในที่สุด

ฉะนั้น วิธีที่ง่ายที่สุดในการป้องกันคือ การใช้ Password ที่แข็งแรง ที่มีทั้งตัวอัขระ ตัวเล็กและตัวใหญ่ ตัวเลขและตัวอัขระพิเศษต่าง ๆ เพื่อให้ผู้ไม่ประสงค์ดีเดาและหารหัสผ่านของเราได้ยากขึ้น นอกจากนี้ยังสามารถใช้ Plugin ต่าง ๆ เพื่อป้องกันการ Brute Force ได้

และแน่นอนว่าตัว Wordpress เองก็มีการป้องกันในเรื่องพวกนี้อยู่แล้ว ถ้าเราลองใส่รหัสผ่านผิด ๆ หลาย ๆ ครั้งมันจะมีช่องเพิ่มให้เรายืนยันว่าเราคือมนุษย์อยู่ข้างล่าง

เปลี่ยน Default Username 'admin' ออกไป

ถ้าใครที่ได้ติดตั้งหรือ Config ตัว Wordpress ครั้งแรกด้วยตัวเอง น่าจะรู้กันดีว่า Username ที่มันมาให้ตอนแรกคือ admin นอกจากที่เราจะรู้แล้ว ผู้ไม่ประสงค์ดีก็รู้เช่นกัน จากที่เขาจะแค่ Brute Force ทั้ง Username และ Password มันจะกลายเป็นว่า เราดันไปลดงานให้เขาครึ่งนึงโดยการบอก Username โดยที่เราไม่รู้ตัวกันเลยทีเดียว

ฉะนั้นวิธีที่ง่ายที่สุดคือการเปลี่ยน Username ของเราให้เป็นอย่างอื่น อาจจะเชื่อมกับ Wordpress Account ไปเลยก็ย่อมได้เช่นกัน

จำกัดจำนวนครั้งที่ Login

Wordpress Security Login LockDown

จากปัญหาเมื่อครู่คือการถูก Brute Force รหัสผ่านเข้ามา ซึ่งอย่างที่ได้กล่าวไปเมื่อครู่คือ Wordpress นั่นมีการป้องกันโดยการยืนยันว่าเราเป็นมนุษย์อยู่แล้ว แต่นั่นก็เป็นวิธีแก้ปัญหาที่ปลายเหตุไปหน่อย ถ้าเราสามารถจำกัดเลย ไม่ให้ Login ได้มั้ย ? คำตอบคือได้ โดยมันจะมี Plugin ชื่อ [Login Lockdown][5] มันก็ทำงานตามชื่อเลยคือ Lockdown ไม่ให้ Login เมื่อ Login ไม่ผ่านตามจำนวนครั้งที่ได้กำหนดเอาไว้ วิธีนี้ก็จะช่วยป้องกันพวกที่เข้ามา Brute Force รหัสผ่านของเราได้ดีขึ้นไปอีก

File Permission Settings

ตรงนี้จะเกิดกับผู้ที่ติดตั้ง Wordpress ด้วยตัวเองเท่านั้นคือเรื่องของ File Permission ซึ่งถือว่าเป็นเรื่องที่สำคัญมาก ๆ เพราะผู้ไม่ประสงค์ดีสามารถเข้ามาแก้ไขไฟล์ต่าง ๆ ของเราได้โดยที่เราไม่รู้ตัวได้ วิธีง่าย ๆ คือการเข้าไปแก้ Permission ซะ แนะนำให้ใช้เป็น 755 (775 มันคือให้เจ้าของไฟล์ทำได้ทุกอย่าง แต่คนอื่นที่ไม่ใช่เจ้าของไฟล์จะทำได้แค่อ่านอย่างเดียว มันคือ chmod code ที่ใช้บอก Permission ของไฟล์ในระบบ Linux และ Unix ถ้าสนใจให้ลองหาอ่านเพิ่มเอานะ ถ้าเขียนตรงนี้จะยาว) ซะก็จะช่วยให้เราปลอดภัยจากการคุมคามเข้ามาในไฟล์ของเราได้มากขึ้นแล้ว

ใช้ HTTPS กันเถอะ !

ปัญหานี้ถ้าใครที่เรียนพวก Security มามันจะมีอยู่เรื่องนึงที่เรียกว่า Man-in-the-middle attack ที่ผู้ไม่ประสงค์ดี สามารถดักจับข้อมูลของเราผ่านอินเตอร์เน็ต อย่างที่เรารู้กันดีว่า อินเตอร์เน็ต ที่เราใช้อยู่ในทุก ๆ วันนั้น ใคร ๆ ก็เข้าถึงได้ แน่นอนว่ามันอาจจะมีผู้ไม่ประสงค์ดีเข้ามาดักจับข้อมูลเราระหว่าง เครื่องคอมพิวเตอร์ของเรา กับ Web Server ของเราได้ เช่น Username และ Password ในการเข้า Wordpress ของเรา

ซึ่งในปัจจุบันนี้เรามีสิ่งที่เรียกว่า HTTPS (ถ้ามีโอกาสจะมาเขียนเบื้องหลัง และหลักการทำงานของมันกัน) เข้ามาช่วยเราในเรื่องนี้ หลักการคือมันจะเข้ารหัส และยังสามารถยืนยันว่าเว็บเราเป็นเว็บของเราจริง ๆ ไม่ใช่ที่คนอื่นสร้างขึ้นมาหลอกเราเหมือนที่ธนาคารหลาย ๆ แห่งโดนสิ่งที่เรียกว่า Phishing Site หรือบางคนอาจจะเรียกว่า Spoof Site ซึ่งเราสามารถขอ Certificate ได้ผ่าน Provider หลายเจ้าเช่น Verisign หรือ Let's Encrypt ที่เป็น Free SSL ก็ได้เช่นกัน ผมเคยเขียนวิธีขอไปแล้ว เข้ามาอ่านได้ที่ลิงค์นี้

สรุป

เรื่องของ Wordpress Security บางเว็บไซต์อาจจะไม่ได้เห็นความสำคัญมาก แต่ในปัจจุบันถือว่าเป็นเรื่องที่สำคัญมาก ถึงแม้ว่า Wordpress เองจะถูกแพคมากับระบบที่มั่นคงแล้วก็ตาม อะไรก็เกิดขึ้นได้เสมอ วันดีคืนดีเราอาจจะถูกโจมตีสักอย่างก็ได้ ฉะนั้นถ้าเราระวัง เว็บของเราก็จะปลอดภัยบนโลกไซเบอร์มากขึ้นด้วยเช่นกัน ก็หวังว่า 5 วิธีง่าย ๆ ที่ได้แนะนำไปก็จะช่วยให้เว็บของทุกคนปลอดภัยมากขึ้นนะครับ !

Read Next...

การสร้าง SSD Storage Pool บน Synology DSM

การสร้าง SSD Storage Pool บน Synology DSM

สำหรับคนที่ใช้ Synology NAS บางรุ่นจะมีช่อง M.2 สำหรับเสียบ NVMe SSD โดยพื้นฐาน Synology บอกว่ามันสำหรับการทำ Cache แต่ถ้าเราต้องการเอามันมาทำเป็น Storage ละ มันจะทำได้มั้ย วันนี้เราจะมาเล่าวิธีการทำกัน...

Multiprogramming, Multiprocessing และ Multithreading

Multiprogramming, Multiprocessing และ Multithreading

หลังจากที่เรามาเล่าเรื่อง malloc() มีคนอยากให้มาเล่าเรื่อง pthread เพื่อให้สามารถยัด Content ที่ละเอียด และเข้าใจง่ายในเวลาที่ไม่นานเกินไป เลยจะมาเล่าพื้นฐานที่สำคัญของคำ 3 คำคือ Multiprogramming, Multitasking, Multiprocessing และ Multithreading...

Synology NAS และ SSD Cache จำเป็นจริง ๆ เหรอ เหมาะกับระบบแบบใด

Synology NAS และ SSD Cache จำเป็นจริง ๆ เหรอ เหมาะกับระบบแบบใด

ใน Synology NAS มีความสามารถนึงที่น่าสนใจคือ การใช้ SSD เป็น Cache สำหรับระบบ ที่ทำให้ Performance ในการอ่านเขียน เร็วขึ้นกว่าเดิมมาก ๆ แน่นอนว่า เราลองละ วันนี้เราจะมาเล่าให้อ่านกันว่า หากใครคิดที่จะทำ มันเหมาะ หรือ ไม่เหมาะกับการใช้งานของเรา...

ฮาวทูย้าย Synology Add-on Package ไปอีก Volume

ฮาวทูย้าย Synology Add-on Package ไปอีก Volume

เรื่องราวเกิดจากการที่เราต้องย้าย Add-on Package ใน DSM และคิดว่าหลาย ๆ คนน่าจะต้องประสบเรื่องราวคล้าย ๆ กัน วันนี้เราจะมาเล่าวิธีการว่า เราทำยังไง เจอปัญหาอะไร และ แก้ปัญหาอย่างไรให้ได้อ่านกัน...